Deutscher Bundestag 
13. Wahlperiode 


Kleine Anfrage 

der Abgeordneten Dr. Manuel Kiper, Manfred Such 
und der Fraktion BÜNDNIS 90/DIE GRÜNEN 


Das Bundesamt für Sicherheit in der Informationstechnik 


Die Sicherheit von informations- und kommunikationstech- 
nischen Systemen (IT- Sicherheit) und ihre zuverlässige Funktion 
gehört zu den Grundvoraussetzungen für die Beherrschbarkeit 
der technischen Risiken einer Informationsgesellschaft. Mit zu- 
nehmender Abhängigkeit von derartigen Systemen wächst das 
Bedürfnis sowohl nach sicheren Systemen als auch das nach 
Aufklärung, Beratung und Erforschung wie Beherrschung neuer 
Risikopotentiale. Das Bundesamt für Sicherheit in der Informa- 
tionstechnik (BSI) hat damit heute eine Aufgabe mit noch grö- 
ßerer Bedeutung für Bürgerinnen und Bürger als bei seiner 
Gründung. 

Das BSI entstand 1991 aus der nur wenige Monate zuvor zur 
„Zentralstelle für Sicherheit in der Informationstechnik" mu- 
tierten ehemaligen „Zentralstelle für das Chiffrierwesen (ZfCh) ", 
dem bundesdeutschen Pendant zu Chiffrier- und Dechiff- 
rier-Organisationen wie die NSA (National Security Agency) oder 
das GCHO (General Communications Headquarter). Mit einer 
Gefahr durch Computer-Hacker und Computer- Viren be- 
gründete die Bundesregierung ihren Weg, eine mit Funktionen 
aus dem Geheimdienstbereich betraute Behörde unter neuer 
Bezeichnung mit Fragen der IT-Sicherheit zu beauftragen. Im 
Gegensatz dazu war zu diesem Zeitpunkt in den USA bereits die 
dortige zivile Standardisierungsbehörde NIST (National Institute 
of Standardization) mit entsprechenden Aufgaben betraut wor- 
den. 

Mittlerweile ist der Aufbau des BSI abgeschlossen. Dabei haben 
sich einige der bei Errichtung des BSI geäußerten Bedenken in 
einer stärkeren Profilierung des BSI bei Beratung und Aufklä- 
rung niedergeschlagen. Trotz inhaltlicher Gewinne ist die Arbeit 
des BSI weiterhin auch dadurch bestimmt, Strafverfolgungs- 
behörden und Nachrichtendiensten zuzuarbeiten. Gleichzeitig 
werden Behörden beraten und Bürgerinnen und Bürgern in Fra- 
gen der IT-Sicherheit Auskunft erteilt. Zwiespältig am BSI ist also 
weiterhin die ungenügende Trennung zwischen nachrichten- 
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dienstlichen und polizeilichen Aufgaben einerseits und denen 
zur Erhöhung der IT-Sicherheit andererseits. Insbesondere bei 
Fragen der Kryptographie, aber auch auf anderen Gebieten der 
IT-Sicherheit gerät das BSI damit in einen Konflikt wider- 
sprechender Ziele, wenn der Bedarf nach Sicherheit der Wirt- 
schaft und von Privatpersonen hinter den Interessen von Straf- 
verfolgung und Nachrichtendiensten zurückzustehen hat. 

Wir fragen die Bundesregierung: 

Manipulation an Computersystemen, fehlerhafte Systeme und 
langfristige Entwicklung 

1. Welche Fortschritte und Defizite sieht die Bundesregierung 
bei der Wahrung und Erhöhung der IT-Sicherheit? 

Welche Maßnahmen erscheinen ihr heute zu diesem Zweck 
vorrangig? 

2. Wie bewertet die Bundesregierung heute die durch die Be- 
griffe Computer-Hacker und Computer- Viren beschriebenen 
Gefahren? 

3. Wie viele Ermittlungsverfahren nach § 202 a StGB (Compu- 
terspionage), § 303 b StGB (Computersabotage) und § 263 a 
StGB (Computerbetrug) wurden seit Inkrafttreten dieser 
Strafrechtsnormen 

a) durchgeführt, 

b) wie viele Anklagen und Aburteilungen resultieren daraus 
und 

c) welche Schäden wurden nach Schätzung der Bundes- 
regierung dadurch verursacht? 

4. Wie bewertet die Bundesregierung im Vergleich dazu die 
Gefahren durch fehlerhafte Computersysteme und nach- 
lässigen Umgang mit IT-Sicherheit? 

5. Welche Schäden sind nach Kenntnis der Bundesregierung 
durch fehlerhafte Computersysteme und durch den meist auf 
Geringschätzung gegenüber IT- Sicherheitsproblemen be- 
ruhenden Ausfall von Computersytemen in diesem Zeitraum 
entstanden? 

6. Sofern dies nicht oder nur partiell bekannt ist, wieso sind dazu 
keine Daten verfügbar? 

7. Wie hoch ist der Anteil der mit Microsoft Betriebssystemen 
oder Benutzeroberflächen (MS-DOS bzw. Microsoft Windows) 
ausgestatteten Arbeitsplatzrechner in den Bundesbehörden? 

Wurden diese Systeme in der Bundesrepublik Deutschland 
oder einem anderen Land jemals evaluiert oder zertifiziert? 

Wenn nein, warum hat das BSI dies nicht getan? 

8. Welche IT- Sicherheitsrisiken - zu deren Minderung das BSI 
beitragen soll - sind nach Ansicht der Bundesregierung in 
den wichtigen, derzeit in Entwicklung befindlichen Pro- 
jekten wie Bundesbehördennetz 2000, Informationsverbund 
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Bonn— Berhn oder der Neugestaltung von INPOL und an- 
dere Projekten abzusehen, welche Maßnahmen will die 
Bundesregierung ergreifen, und wie hoch schätzt sie die 
Kosten dafür ein? 

9. Beabsichtigt die Bundesregierung, in sensiblen Bereichen 
den Einsatz zuverlässiger, Sicherheit s geprüfter IT- Systeme 
vorzuschreiben? 

Wenn nein, warum nicht, und wie begründet sie diese im 
Vergleich zu ähnlichen technischen Risiken rechtssyste- 
matische Ausnahme? 

10. In welchem Maße kommen die Angebote und Dienst- 
leistungen des BSI privaten Nutzerinnen und Nutzem elek- 
tronischer Netzwerke und Dienste wie Home-Banking etc. 
zugute, die sich berechtigte Sorgen um ihre Sicherheit 
machen? 

Wurde insbesondere Home-Banking- Software schon einmal 
vom BSI evaluiert oder zertifiziert? 

11. Wie stellt sich das BSI die Entwicklung einer langfristigen 
IT-Sicherheitsinfrastmktur und einer entsprechenden 
IT-Sicherheitskultur mit der notwendigen akzeptablen 
Nutzbarkeit durch die Bürgerinnen und Bürger vor? 

Beratung zur IT-Sicherheit 

12. An wen richtet sich das Beratungsangebot des BSI? 

13. Von wie vielen Personen aus welchen Bereichen - öffentlicher 
Dienst, Industrie, Bürgerinnen und Bürger - wurde die Bera- 
tung in den letzten fünf Jahren in Anspruch genommen? 

14. Welchen Anteil am Personalhaushalt des BSI hat die Bera- 
tungsaufgabe? 

15. Wie hat sich die Beratung thematisch entwickelt, insbe- 
sondere: 

a) Welche Aufklämng über IT-Sicherheit wird gegeben? 

b) Welches Beratungskonzept verfolgt die Beratungsgmppe 
des BSI? 

c) Wie ist die Gruppe zusammengesetzt? 

d) Welche pädagogischen Konzepte werden verfolgt? 

e) Wie wird die langfristige Risikoentwicklung in diesen 
Konzepten berücksichtigt? 

16. Welche Anstrengungen werden unternommen, um die Bera- 
tung von Bürgerinnen und Bürgern zu verstärken? 

17. Welche Auflage und Verbreitung hat die Zeitschrift „Kom- 
munikations- und EDV- Sicherheit (KES)", in der das BSI 
einen eigenen Redaktionsteil verantwortet, welche Ziel- 
gmppe wird damit erreicht, und hält die Bundesregiemng 
damit eine genügend große Breite für eine Aufklämng der 
Bürgerinnen und Bürger für gegeben? 
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18. Sieht die Bundesregierung Veranlassung, daß das BSI Warn- 
meldungen und andere Informationen über elektronische 
Netze zur Verfügung stellt, wenn nein, warum nicht? 

19. Hält die Bundesregierung die Mailbox des BSI in Bonn für 
ausreichend, wenn ja, aus welchen Gründen? 

20. Hält es die Bundesregierung angesichts der Geschwindigkeit 
der technischen Entwicklung für ausreichend, IT-Sicherheit 
durch Schulung und Beratung zu verbessern oder wäre es 
nicht ökonomischer, bereits bei der Entstehung von Informa- 
tions- und Kommunikationstechnologie stärker auf Sicher- 
heitsaspekte hinzuwirken? 

Unterstützung 

21. In welchem Umfang wurde eine Unterstützung durch das BSI 
in den letzten fünf Jahren jeweils in Anspruch genommen: 

a) von welchen Bundes- und Landesbehörden und 

b) in welchem gesetzlichen Zusammenhang? 

22. Wodurch ist die im Haushalt 1996 beantragte Aufstockung 
des Personalbestandes für Unterstützungstätigkeiten not- 
wendig geworden? 

23. Hat das BSI für Einheiten oder Stellen der Bundeswehr Bera- 
tungs- oder Unterstützungsleistungen erbracht, wenn ja, 
welche, wann und zu welchem Zweck? 

24. Hat das BSI für den BND, den MAD oder das Bundesamt oder 
ein Landesamt für Verfassungsschutz Unterstützungsleistun- 
gen erbracht, wenn ja, welche, wann und zu welchem 
Zweck? 

25. Hat das BSI für Staatsanwaltschaften oder Polizeibehörden 
Unterstützungsleistungen erbracht, wenn ja, welche, wann 
und zu welchem Zweck? 

26. Welche Behörden hat das BSI darin unterstützt, die Abstrah- 
lung elektronischer Geräte und Komponenten aufzufangen, 
und wann und zu welchem Zweck erfolgte dies? 

27. Welche Bundesbehörden haben die Länderpohzeien bei den 
jüngst durchgeführten Aktionen gegen die elektronische 
Verbreitung von Pornographie und politischem Extremismus 
je weis wie unterstützt? 

Gab es dazu insbesondere eine Unterstützung durch das BSI? 

28. Wie bewertet die Bundesregierung den Stand der Ausbildung 
und Ausrüstung der an den genannten Aktionen beteiligten 
und für ähnhche Aktivitäten gerüsteten Polizeieinheiten? 

29. Welche Konsequenzen sieht sie darin für die Unterstützungs- 
arbeit des BSI? 
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Vierergruppe IT-Sicherheit 

30. Mit welchen Behörden aus Frankreich, Großbritannien und 
den Niederlanden kooperiert das BSI in der sogenannten 
„Vierergruppe IT- Sicherheit'', bei der es um neue operative 
Methoden der internationalen organisierten Kriminalität 
geht, und welche Abteilungen des BSI sind daran beteiligt? 

31. Welche konkreten Aufgaben hat die Vierergruppe IT-Sicher- 
heit? 

Zertifizierung 

32. Wie viele Sicherheits-Zertifikate und für welche Sicherheits- 
Klasse hat das BSI ausgestellt? 

33. Wie güedern sich die zertifizierten Produkte nach Pro- 
duktgruppen (Betriebssysteme, spezielle Sicherheitspro- 
dukte etc.)? 

34. Wie weit ist bei der Vergabe und gegenseitiger Anerkennung 
von Zertifikaten die internationale Abstimmung, insbe- 
sondere die auf EU-Ebene, gediehen? 

35. Wie bewertet die Bundesregierung den Aufbau einer Zertifi- 
zierungsstruktur? 

Welcher Umfang von zertifizierenden Stellen erscheint ihr 
dabei angemessen? 

36. Ist das BSI im Bereich Zertifizierung personell so ausgestattet, 
daß es mit der technischen Enwicklung auch nur annähernd 
Schritt halten kann? 

37. Sieht die Bundesregierung die Notwendigkeit neuer Ansätze 
zu einer Zertifizierung? 

Hat die Bundesregierung insbesondere die Absicht, die 
Zertifizierung gänzlich zu privatisieren, und wie will sie bei 
einer Privatisierung die Unabhängigkeit der Zertifizierung 
von kommerziellen Interessen garantieren? 

Forschung 

38. Welche durch das BSI geleisteten Forschungsarbeiten waren 
nach Ansicht der Bundesregierung die wichtigsten, welche 
Schwerpunkte sieht sie für die nächsten Jahre? 

39. Hält die Bundesregierung im Zeitalter der Vernetzung von 
Computern - die bedeutet, Daten in den Computersystemen 
der unterschiedlichsten Organisationen zu lesen, aber auch 
zu manipuüeren - die starke Betonung der Arbeiten des BSI 
bei der Verschlüsselung von Datenübertragungen noch für 
angemessen und sinnvoll? 

40. Welches Ergebnis hatte ein Projekt des BSI zur „Nutzung 
künstücher Intelligenz zu Sicherheitsüberwachung von An- 
wenderhandlungen " ? 

a) Welche Überwachungsprobleme sieht die Bundesregie- 
rung darin? 
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b) Welche Schlußfolgerungen zieht sie aus dem Ergebnis? 

41. Welche Forschungsarbeiten zur Verbesserung der Sicherheit 
von Telekommunikationsanlagen sind nach Ansicht der Bun- 
desregierung notwendig? 

Wo liegen ihrer Ansicht nach Schwachstellen? 

42. Welche Erfordernisse sieht die Bundesregierung bei der 
Sicherheit zukünftiger Datennetze? 

a) Welche Forschungsaufgaben werden dazu vom Bundes- 
ministerium für Bildung, Wissenschaft, Forschung und 
Technologie, und welche vom BSI betrieben? 

b) Warum leistet das BSI eigene Forschungsarbeiten? 

c) Inwieweit werden deren Ergebnisse der Allgemeinheit zur 
Verfügung stehen? 

43. Wie bewertet die Bundesregierung das Marktpotential der 
Forschungsarbeiten des BSI zur Kryptierung? 

Sieht sie dabei Probleme für deren Nutzung aufgrund be- 
stehender Verbote für Kryptierverfahren bzw. dann, wenn es 
auf EU-Ebene oder in den USA zu einer Reguherung von 
Kryptierverfahren kommt? 

44. Wie viele Prototypen von Kryptiergeräten und -Systemen hat 
das BSI entwickelt bzw. hat es entwickeln lassen? 

a) Welche davon werden heute von Unternehmen unge- 
beten? 

b) Um welche Unternehmen handelt es sich? 

c) Wie wurde von diesen ggf. die Entwicklungsarbeit des BSI 
vergütet? 

45. In welchem Rahmen beteiligt sich das BSI an der Multilevel 
Informations Systems Security Initiative (MISSI) des US 
Department of Defense oder plant dies zu tun? 

46. In welchem Rahmen beteüigt sich das BSI am International 
Cryptographic Experiment (ICE) des Shape Technical Cent- 
res der NATO oder plant dies zu tun? 

47. In welchem Rahmen beteüigt sich das BSI an der Entwicklung 
eines Cryptographic Application Program Interface (CAPI) 
oder plant dies zu tun? 

Welche wirtschafthchen Potentiale sieht die Bundesregierung 
in dieser Entwicklung? 

Personal 

48. Wie weit ist der personeUe Aufbau des BSI fortgeschritten, 
welcher Anpassungsbedarf hat sich dabei ergeben? 

49. Wie setzt sich die Qualifikation der Mitarbeiterinnen und 
Mitarbeiter der Fachabteüungen des BSI zusammen (aufge- 
gliedert nach Naturwissenschaften, Geisteswissenschaften 
etc.) 
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50. Wie viele aller und wie viele der heutigen Mitarbeiterinnen 
und Mitarbeiter des BSI haben zuvor jeweils in der Vorgän- 
gerorganisation des BSI, der Zentralstelle für das Chif- 
frierwesen (ZfCh) gearbeitet, und wie viele beim Zentralen 
Chiffrierorgan (ZCO) der DDR? 

51. Ist die Ausstattung mit Sachmitteln adäquat oder wo liegen 
nach Ansicht der Bundesregierung Defizite? 

Bonn, den 1. Dezember 1995 

Dr. Manuel Kiper 

Manfred Such 

Joseph Fischer (Frankfurt), Kerstin Müller (Köln) und Fraktion 
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